Agencia de Protección de Datos Personales: ¿qué pasará cuando un cliente, trabajador o usuario exija saber qué datos tienes, para qué los usas, con quién los compartes y qué medidas técnicas aplicas para protegerlos?
La respuesta ya no será solo “tenemos una política de privacidad”. Con la Ley N° 21.719, Chile entra en una nueva etapa: más derechos para las personas, más obligaciones para empresas y entidades públicas, y una nueva autoridad fiscalizadora llamada Agencia de Protección de Datos Personales.
La ley fue publicada el 13 de diciembre de 2024 y entrará en vigencia el 1 de diciembre de 2026. Ese plazo puede parecer amplio, pero para una empresa que administra bases de datos, sitios web, formularios, CRM, correos, hosting, sistemas internos o datos sensibles, el tiempo real de preparación ya comenzó.
¿Qué es la Agencia de Protección de Datos Personales?
La Agencia de Protección de Datos Personales será la autoridad chilena encargada de fiscalizar el cumplimiento de la nueva ley, resolver reclamos de titulares de datos y aplicar sanciones cuando corresponda.
La Ley N° 21.719 crea esta Agencia como una corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio.
Su objetivo será velar por la protección efectiva de la vida privada y los datos personales, además de fiscalizar el cumplimiento de la normativa.
En palabras simples: Chile pasará de un modelo con baja fiscalización práctica a un sistema donde las empresas deberán demostrar cumplimiento. Ya no bastará con decir que los datos están protegidos; habrá que probarlo con políticas, registros, medidas de seguridad, trazabilidad y capacidad de respuesta.
“En proyectos de hosting, soporte TI y ciberseguridad, el punto débil rara vez es solo la tecnología. Muchas veces el problema es que nadie sabe exactamente qué datos se guardan, dónde están, quién accede y cómo se restauran si ocurre un incidente”.
¿Por qué esta ley importa a empresas que administran datos?
La nueva Ley es importante porque cambia el estándar de responsabilidad. Toda organización que trate datos personales deberá respetar principios como licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad, transparencia y confidencialidad. La ley exige que el responsable pueda acreditar la licitud del tratamiento y aplicar medidas adecuadas para proteger los datos.
Esto afecta al siguiente tipo de empresas:
- Pymes
- Instituciones educacionales
- E-commerce
- Clínicas
- Asesorías previsionales
- SaaS
- Agencias digitales
- Proveedores de hosting
- Empresas de soporte TI
- Entidades que recolectan información mediante formularios web.
Lo clave es entender que “dato personal” no es solo el RUT. También puede incluir nombre, correo, teléfono, dirección IP, historial de compra, datos laborales, datos financieros, información de salud, comportamiento digital, registros de acceso y cualquier información que identifique o haga identificable a una persona.
¿Qué cambia para una empresa que tiene sitio web, hosting, CRM o formularios?
Cambia la forma en que debe recolectar información.
Una empresa que tiene formularios de contacto, landing pages, bases de clientes, correos corporativos, sistemas de tickets o plataformas de pago ya está tratando datos personales. Si además usa hosting, servidores VPS, cloud, email marketing, analytics, CRM o herramientas externas, debe revisar qué proveedores intervienen y bajo qué condiciones.
La ley obliga al responsable de datos a informar y poner a disposición antecedentes que acrediten la licitud del tratamiento, asegurar que los datos se recojan de fuentes lícitas, limitar el uso a fines específicos y cumplir deberes de información, transparencia, seguridad y confidencialidad.
Protección de Datos: Salvaguardando la Privacidad en la Era Digital
¿Qué derechos tendrán las personas sobre sus datos?
La ley fortalece los derechos de los titulares de datos personales. Entre ellos se consideran acceso, rectificación, supresión, oposición y portabilidad. También se reconoce el derecho a recibir información sobre el tratamiento y a recurrir ante la Agencia cuando el responsable rechace o no responda oportunamente.
Esto significa que una persona podrá pedir respuestas más claras sobre qué datos tiene una empresa, por qué los trata, con qué base legal, durante cuánto tiempo, con quién los comparte y cómo puede ejercer sus derechos.
| Derecho del titular | ¿Qué significa para la persona? | ¿Qué debe preparar la empresa? |
|---|---|---|
| Acceso | Saber si sus datos están siendo tratados y acceder a información del tratamiento | Procedimiento de respuesta y trazabilidad |
| Rectificación | Corregir datos inexactos, incompletos o desactualizados | Flujo de actualización de registros |
| Supresión | Pedir eliminación cuando corresponda | Política de retención y borrado |
| Oposición | Solicitar que no se realice determinado tratamiento | Evaluación de base legal y finalidad |
| Portabilidad | Obtener copia en formato electrónico estructurado | Capacidad técnica de exportación |
¿Qué obligaciones nuevas tendrá el responsable de datos?
Según la información disponible en la Biblioteca del Congreso Nacional de Chile (BCN), el responsable de datos deberá actuar con más orden, transparencia y evidencia. La ley exige informar, acreditar licitud, cumplir principios, mantener confidencialidad y aplicar medidas de seguridad acordes al riesgo.
Una obligación especialmente relevante es el deber de información y transparencia. La empresa deberá mantener disponible, en su sitio web o medio equivalente, información como su política de tratamiento de datos, identificación del responsable, medios de contacto para solicitudes, categorías de datos tratados, finalidades, base de legitimidad, destinatarios y medidas de seguridad adoptadas.
¿Qué exige la ley sobre seguridad de la información?
La ley exige aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Entre las medidas mencionadas están la seudonimización, el cifrado de datos personales, la capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia, la restauración rápida del acceso a datos en caso de incidente y la verificación regular de la eficacia de las medidas.
La ley señala que, ante un incidente y en caso de controversia judicial o administrativa, corresponderá al responsable acreditar la existencia y funcionamiento de las medidas de seguridad adoptadas.
¿Qué pasa si ocurre una filtración o incidente de seguridad?
Si ocurre una vulneración de seguridad que ocasione destrucción o pérdida de datos personales, y existe un riesgo razonable para los derechos y libertades de los titulares, el responsable deberá reportar el incidente a la Agencia sin dilaciones indebidas.
Además, deberá registrar la comunicación, describir la naturaleza del incidente y sus efectos, entre otras gestiones. Cuando se trate de datos sensibles, datos de niños menores de catorce años o datos económicos, financieros, bancarios o comerciales, también deberá comunicarlo a los titulares afectados.
En términos prácticos, esto obliga a tener:
- Monitoreo de eventos e incidentes.
- Registro de accesos.
- Procedimiento de escalamiento.
- Plan de respuesta ante incidentes.
- Backups probados.
- Evidencia técnica.
- Comunicación clara a titulares y autoridad cuando corresponda.
¿Qué sanciones puede aplicar la Agencia de Protección de Datos Personales?
La ley establece infracciones leves, graves y gravísimas. Las leves pueden sancionarse con amonestación escrita o multa de hasta 5.000 UTM; las graves, con multa de hasta 10.000 UTM; y las gravísimas, con multa de hasta 20.000 UTM. En ciertos casos de reincidencia para empresas que no sean de menor tamaño, la multa puede llegar al monto más gravoso entre la multa indicada o hasta el 2% o 4% de los ingresos anuales, según corresponda a infracciones graves o gravísimas.
¿Qué debe hacer una empresa desde ahora para prepararse?
La preparación debería empezar con un levantamiento de datos. La Guía Práctica de la Secretaría de Gobierno Digital recomienda iniciar con acciones organizativas como designar un responsable institucional, constituir un proyecto de implementación y comunicar internamente el inicio del proceso. Luego propone avanzar hacia el levantamiento de información sobre los datos tratados dentro de la institución.
Aunque esa guía está orientada a la Administración del Estado, su lógica es útil para empresas privadas: antes de comprar herramientas, hay que saber qué datos existen, dónde están, por qué se tratan y quién los toca.
¿Cómo afecta esto a empresas de hosting, cloud, soporte TI y reseller?
Afecta directamente porque estas empresas suelen administrar, alojar o tener acceso técnico a datos personales de terceros.
Un proveedor de hosting, cloud, VPS, soporte TI, mesa de ayuda, mantenimiento web o reseller puede actuar como encargado o tercero mandatario cuando trata datos por cuenta del cliente. La ley define al tercero mandatario o encargado como la persona natural o jurídica que trata datos personales por cuenta del responsable.
Esto significa que el contrato entre cliente y proveedor tecnológico debe revisarse. No basta con contratar “hosting reseller Chile”, “VPS administrado” o “soporte web” sin entender qué datos se alojan, quién accede, cómo se respaldan, dónde están los servidores, qué medidas de seguridad existen y cómo se responde ante incidentes.
Te podría interesar: Planes de hosting Chile: compara precios, características y VPS
¿Por qué ciberseguridad, MDR y cumplimiento ahora van juntos?
Porque la ley exige medidas de seguridad reales, no solo declaraciones. La protección de datos personales depende de políticas legales, pero también de controles técnicos: monitoreo, detección, respuesta, respaldos, gestión de vulnerabilidades, control de accesos y continuidad operativa.
Aquí aparece un punto crítico: muchas empresas tienen antivirus, firewall o backups, pero no tienen capacidad continua de detección y respuesta. Un servicio MDR —Managed Detection and Response— ayuda a monitorear señales de ataque, investigar alertas y responder ante amenazas sin que la empresa tenga que construir un SOC completo desde cero.
Tecnoinver explica que MDR puede ayudar a empresas que quieren mejorar su ciberseguridad sin levantar un SOC propio, partiendo por revisar herramientas actuales, riesgos, usuarios, infraestructura, brechas y capacidad de respuesta.
¿Qué áreas de la empresa deben involucrarse?
La protección de datos no es solo tarea del abogado ni del encargado TI. Debe involucrar a dirección, legal, tecnología, marketing, ventas, recursos humanos, soporte, finanzas y proveedores externos.
BioBioChileTV destacó que los desafíos de la nueva ley no serán solo normativos, sino también tecnológicos, operativos y culturales: adaptación de sistemas, ciberseguridad, gobierno de datos, interoperabilidad, auditoría, gestión documental y atención de solicitudes ciudadanas.
La forma simple de verlo es esta:
| Área | Riesgo común | Acción recomendada |
|---|---|---|
| Dirección | Subestimar multas y reputación | Aprobar plan de cumplimiento |
| TI | No tener inventario ni monitoreo | Mapear sistemas y reforzar controles |
| Legal | Políticas desactualizadas | Revisar bases legales y contratos |
| Marketing | Formularios sin finalidad clara | Ajustar consentimientos y comunicaciones |
| RR. HH. | Datos sensibles de trabajadores | Controlar acceso y retención |
| Soporte | Acceso amplio a datos de clientes | Definir permisos y trazabilidad |
| Proveedores | Tratamiento sin contrato claro | Actualizar cláusulas y responsabilidades |
¿Qué checklist rápido puede usar una empresa antes de 2026?
Antes de 2026, una empresa debería poder responder preguntas básicas: qué datos trata, por qué los trata, dónde están, quién accede, cómo se protegen y qué ocurre si hay una filtración.
Este checklist no reemplaza asesoría legal, pero ayuda a iniciar el diagnóstico:
- ¿Tenemos inventario de datos personales?
- ¿Sabemos qué datos sensibles tratamos?
- ¿Tenemos política de tratamiento publicada y actualizada?
- ¿Nuestros formularios informan finalidad y base de tratamiento?
- ¿Tenemos canal para solicitudes de titulares?
- ¿Podemos responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad?
- ¿Nuestros proveedores tecnológicos tienen cláusulas de tratamiento de datos?
- ¿Contamos con respaldos probados?
- ¿Tenemos cifrado, control de accesos y registros?
- ¿Existe plan de respuesta a incidentes?
- ¿Sabemos cuándo reportar una vulneración a la Agencia?
- ¿El equipo fue capacitado?
- ¿Existe responsable interno o delegado de protección de datos?
- ¿Tenemos monitoreo o MDR para detectar amenazas a tiempo?
La conclusión para empresas que administran datos en Chile
La entrada en vigencia de la Ley N° 21.719 y la creación de la Agencia de Protección de Datos Personales marcarán un cambio profundo para empresas y entidades que administran información de personas.
El nuevo estándar exigirá transparencia, licitud, seguridad, confidencialidad, capacidad de respuesta y evidencia. Para empresas que operan sitios web, hosting, cloud, CRM, ecommerce, bases de clientes o sistemas internos, la protección de datos dejará de ser un texto legal escondido en el footer: pasará a ser una responsabilidad operativa medible.
La recomendación es clara: empieza por inventariar tus datos, revisar proveedores, actualizar políticas, fortalecer ciberseguridad y preparar respuesta ante incidentes. Y si tu operación depende de datos, servidores, usuarios y continuidad, evalúa servicios gestionados como MDR, monitoreo, hardening y soporte especializado.
Referencias
Biblioteca del Congreso Nacional de Chile. (2024). Ley N° 21.719: Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. Ley Chile.
https://www.bcn.cl/leychile/navegar?i=1209272
BioBioChileTV. (2026, mayo 26). Ley de Protección de Datos Personales: los desafíos para empresas y ciudadanos ante el nuevo estándar. BioBioChile.
https://www.biobiochile.cl/biobiotv/programas/impacto-tecnologico/2026/05/26/ley-de-proteccion-de-datos-personales-los-desafios-para-empresas-y-ciudadanos-ante-el-nuevo-estandar.shtml
Gobierno de Chile. (s. f.). Aprobada Ley de Protección de Datos: ¿De qué trata? Gob.cl.
https://www.gob.cl/noticias/ley-proteccion-datos-personales-aprobacion-eleva-estandar-derechos/?utm_source=
Tecnoinver. (2026). MDR: 5 razones indispensables para contratar el servicio. Tecnoinver.cl.
